Amazon DataZone のセキュリティのベストプラクティス

Amazon DataZone には、独自のセキュリティポリシーを策定および実装する際に考慮すべきさまざまなセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは指示ではなく、有用な考慮事項と見なしてください。

最小特権アクセスの実装

アクセス許可を付与する場合、どのユーザーにどの Amazon DataZone リソースに対してどのアクセス許可を付与するかは、ユーザーが決定します。ユーザーは、それらのリソースで許可する特定のアクションを有効にします。このため、タスクの実行に必要なアクセス許可のみを付与する必要があります。最小特権アクセスの実装は、セキュリティリスクと、エラーや悪意によってもたらされる可能性のある影響の低減における基本になります。

詳細については、AWS Amazon DataZone の マネージドポリシー「」および「サービスコントロールポリシー (SCPs」を参照してください。

IAM ロールの使用

プロデューサーおよびクライアントアプリケーションは、Amazon DataZone リソースにアクセスするための有効な認証情報を持っている必要があります。 AWS 認証情報は、クライアントアプリケーションや Amazon S3 バケットに直接保存しないでください。これらは自動的にローテーションされない長期的な認証情報であり、漏洩するとビジネスに大きな影響が及ぶ場合があります。

代わりに、IAM ロールを使用して、Amazon DataZone リソースにアクセスするためのプロデューサーおよびクライアントアプリケーションの一時的な認証情報を管理してください。ロールを使用するときは、他のリソースにアクセスするために長期的な認証情報 (ユーザー名とパスワード、またはアクセスキーなど) を使用する必要がありません。

詳細については、「IAM ユーザーガイド」にある下記のトピックを参照してください。

• IAM ロール

• ロールの一般的なシナリオ: ユーザー、アプリケーション、およびサービス

依存リソースでのサーバー側の暗号化の実装

保管中のデータと転送中のデータは Amazon DataZone で暗号化できます。

CloudTrail を使用して API コールをモニタリングする

Amazon DataZone は AWS CloudTrail、Amazon DataZone のユーザー、ロール、または のサービスによって実行されたアクションを記録する AWS サービスである と統合されています。

CloudTrail により収集された情報を使用すると、Amazon DataZone に対して行われたリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエストが行われた日時や、その他の詳細を確認できます。

Amazon DataZone での RAM の使用

AWS アカウントを Amazon DataZone ドメインに関連付けると、ドメインユーザーはこれらの AWS アカウントのデータを公開して使用できます。Amazon DataZone は、 AWS リソースアクセスマネージャー (RAM) を使用してクロスアカウントアクセスを管理します。詳細については、Amazon DataZone の関連付けられているアカウント「」およびAWS 「RAM のセキュリティ」を参照してください。